2014-06-06

OpenSSLに新たな脆弱性。早急にパッチを! ー MITM攻撃の恐れ も

オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に、新たな複数の脆弱性が見つかりました。今回見つかった脆弱性は、サーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの暗号通信の情報が漏えいする恐れがあるとのこと。


既に、開発元のOpenSSLプロジェクトから2014年6月5日(米国時間)、セキュリティ情報で6件の脆弱性を修正し、対応するパッチを公開しています。中でもMITM攻撃につながる脆弱性(CVE-2014-0224)は、「ChangeCipherSpec (CCS) Injection Vulnerability」と呼ばれ、株式会社レピダムの技術者 菊池正史氏が発見し、ブログ「CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - CCS Injection」で公開しています。このOpenSSLのChangeCipherSpec(CCS)メッセージの処理にある脆弱性を悪用された場合、第三者が通信に介在し、第三者が知り得る弱い鍵をOpenSSLに使用させることが可能だとのことです。なお、この脆弱性はOpenSSLの最初のリリースから存在していたとのことで、16年もの間発見されてこないまま現在に至っています。

この脆弱性の影響は、クライアントではOpenSSLの全バージョン、サーバではOpenSSL 1.0.1/1.0.2-beta1のみに影響があることが確認されています。ただ、サーバについては1.0.1以前のバージョンを使用している場合も念のためバージョンアップをすることを推奨しています。

株式会社レピダムの技術Blogよると、今回の「OpenSSL」の新たな脆弱性の内容と対策は以下の通りです。

OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。サーバとクライアントの両方に影響があり、迅速な対応が求められます。攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。

取り得る対策


各ベンダからの更新データがリリースされたら、早急にインストールすることで対応出来るとのことです。以下にあげるベンダーリストは現在時点(2014年6月6日12:30)のものです。随時更新されるとのことなので、更新情報は株式会社レピダムの「技術Blog」で確認してください。

今回の脆弱性による危険性


OpenSSLのChangeCipherSpecメッセージの処理に発見された欠陥により、第三者が通信に介在することが可能であることを確認しました。
そのためOpenSSLに第三者が知ることのできる弱い鍵を使用させることができます。
今回発見された脆弱性により、これにより修正前のバージョンのOpenSSLを使用して通信の保護を実施していたウェブの閲覧、電子メールの送受信、VPNといったソフトウェアには通信内容や認証情報などを詐取・改ざんされる危険性があります。

影響を受けるバージョン

  • 1.0.1から1.0.1g
  • 1.0.0から1.0.0l
  • 0.9.8y以前の全て

OpenSSLの脆弱性による影響の範囲はきわめて広範囲におよぶため、米US-CERTはFreeBSDやRed Hat、Ubuntuへの影響を確認(6月5日時点)しており、また米SANS Internet Storm Centerも早急なパッチの適用を勧告しています。


▶︎ OpenSSL #ccsinjection Vulnerability
▶︎ CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - CCS Injection

via:ITmedia エンタープライズ@IT


0 件のコメント :

コメントを投稿

Related Posts Plugin for WordPress, Blogger...